El amenazante UNC3524: La ciberespionaje casi invisible oculto en los dispositivos de red

Un nuevo informe de Mandiant revela detalles sobre una operación de ciberespionaje en curso dirigida por un actor de amenazas apodado UNC3524, monitoreado por Mandiant desde diciembre de 2019.

Los objetivos son personas que trabajan en empresas muy involucradas en fusiones y adquisiciones, desarrollo corporativo y grandes transacciones corporativas. Si bien este tipo de objetivos puede sugerir motivaciones financieras, Mandiant cree que en realidad está motivado por el espionaje, porque el actor de amenazas mantiene su acceso y permanece indetectado durante un período de tiempo varias veces más largo que el tiempo promedio de residencia de 21 días.

La forma de operar de esta operación indica una fuerte motivación por permanecer indetectado y persistente: cada vez que una víctima limpia su entorno, el actor de amenazas lo compromete de inmediato nuevamente con una variedad de mecanismos, reiniciando la campaña de robo de datos.

Índice de Contenido
  1. Persistencia en dispositivos de red
  2. ¿Cómo funciona la puerta trasera QUIETEXIT?
  3. Segunda puerta trasera: malware REGEORG
  4. Movimientos laterales y robo de correos electrónicos
  5. Servidores C2 en cámaras
  6. Cómo detectar y protegerse de esta amenaza
    1. Detección en redes
    2. Detección en host
    3. Protección

Persistencia en dispositivos de red

Aunque la forma en que se produce la intrusión inicial aún es desconocida en este momento, UNC3524 despliega una puerta trasera previamente no reportada, rastreada por Mandiant como QUIETEXIT, inmediatamente después de obtener acceso inicial.

El malware QUIETEXIT se basa en la herramienta de cliente-servidor SSH de código abierto DropBear.

Según el desarrollador de este software, "Dropbear es particularmente útil para sistemas Linux (u otros sistemas Unix) de tipo 'incrustado', como enrutadores inalámbricos", y puede ejecutarse en una gran variedad de sistemas. Probablemente esta sea una de las razones por las que UNC3524 decidió desarrollar su malware basado en este software.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Por ejemplo, UNC3524 decidió instalar la puerta trasera QUIETEXIT en dispositivos de red opacos dentro de los entornos de las víctimas: puertas de enlace SAN, equilibradores de carga y controladores de puntos de acceso inalámbricos.

Según menciona Mandiant, "este tipo de dispositivos no son compatibles con antivirus o herramientas de detección y respuesta de puntos finales, dejando posteriormente la gestión de los sistemas operativos subyacentes a los proveedores".

Al instalar su malware en sistemas de confianza que no admiten herramientas de seguridad, UNC3524 permaneció indetectado en los entornos de las víctimas durante al menos 18 meses.

¿Cómo funciona la puerta trasera QUIETEXIT?

El malware funciona en modo cliente-servidor SSH tradicional pero invertido. El componente que se ejecuta en el sistema comprometido establece una conexión TCP con un servidor antes de desempeñar el papel de servidor SSH. El componente que se ejecuta en el lado del atacante inicia la conexión SSH y envía una contraseña. Una vez establecida la conexión, el atacante puede utilizar cualquiera de las opciones habituales del cliente SSH, incluyendo el ajuste del tráfico a través del protocolo SOCKS (Figura A).

Figura A

La puerta trasera no tiene un método de persistencia propio, sin embargo, los atacantes instalan un comando de ejecución para ella y secuestran scripts de inicio específicos de la aplicación legítima para lanzar el malware.

Cómo proteger tu computadora de los virus: métodos y consejos

Mandiant informa que los dominios utilizados para los servidores de C2 están destinados a mezclarse con el tráfico legítimo que parte de los dispositivos infectados. Por ejemplo, los investigadores mencionan un equilibrador de carga infectado cuyos dominios de C2 contenían cadenas que podrían estar relacionadas plausiblemente con el proveedor del dispositivo y el nombre del sistema operativo de marca, una vez más demostrando que UNC3524 es muy cauteloso y está decidido a mantenerse indetectado con una preparación cuidadosa.

Segunda puerta trasera: malware REGEORG

En algunos casos, UNC3524 utiliza una segunda puerta trasera que juega el papel de un acceso alternativo a los entornos de las víctimas. El malware REGEORG es una web shell y se coloca en un servidor web de DMZ. Esta web shell crea un proxy SOCKS que puede utilizarse para el túnel.

El malware fue nombrado de manera que encajara con otros nombres de aplicaciones con el fin de permanecer indetectado. Mandiant también observó el timestomping en algunos casos, donde las marcas de tiempo de la web shell coincidían con los archivos legítimos en la misma carpeta.

Esta web shell solo fue observada cuando el malware QUIETEXIT dejaba de funcionar y solo se utilizaba para reinstalar QUIETEXIT en otro sistema de la red. Si bien existe una versión pública de REGEORG, el actor de amenazas utiliza una versión altamente obfuscada y poco conocida.

Movimientos laterales y robo de correos electrónicos

La puerta trasera QUIETEXIT es utilizada por el actor de amenazas para establecer un túnel SOCKS en el entorno de la víctima con cifrado SSH completamente funcional. Luego, el atacante utiliza el túnel para activar herramientas de robo de datos que se ejecutan en su propia infraestructura, sin dejar rastro de las herramientas en los dispositivos infectados.

Para moverse lateralmente dentro de la red, UNC3524 utiliza una versión personalizada de WMIEXEC, lo que les permite establecer una shell semi-interactiva en un host remoto y guardar colmenas de registro mientras extraen secretos LSA sin conexión.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Una vez que el actor de amenazas posee credenciales privilegiadas válidas, se envían solicitudes a la API de Exchange Web Services tanto a la versión local de Microsoft Exchange como al entorno en línea de Microsoft 365 Exchange, apuntando a un subconjunto de buzones de correo.

Mandiant observó que los buzones de correo atacados por UNC3524 pertenecían a equipos ejecutivos y empleados que trabajaban en desarrollo corporativo, fusiones y adquisiciones, o personal de seguridad de TI, posiblemente para verificar si habían sido detectados o no.

Una vez autenticado en la infraestructura de Exchange, el actor de amenazas extrae correos electrónicos seleccionados mediante un filtro específico basado en nombres de carpetas y una fecha correspondiente a la última vez que se accedió a ellos.

Servidores C2 en cámaras

Todos los dominios de C2 observados por Mandiant utilizan proveedores de DNS dinámico, lo que permite a los atacantes actualizar rápidamente y fácilmente sus registros DNS.

En algunas ocasiones, los dominios de DNS dinámico se modificaron para dirigir a una infraestructura VPS en lugar de la botnet de cámaras comprometidas, tal vez debido a problemas de comunicación en la red.

Los aspectos más interesantes de esta infraestructura son los servidores que actúan como C2. Según Mandiant, son "principalmente sistemas de cámaras de sala de conferencias heredadas vendidas por LifeSize, Inc. y, en un caso, una cámara IP de D-Link".

Protege tus contraseñas con PAM: Tu aliado para la seguridad

Es probable que estos servidores sean servidores comprometidos que ejecutan el componente de servidor del malware QUIETEXIT. Mandiant sospecha que estos sistemas de cámaras podrían estar ejecutando un firmware antiguo o permitir credenciales predeterminadas.

Cómo detectar y protegerse de esta amenaza

Aunque descubrir una operación de este tipo es difícil, no es imposible.

Detección en redes

Un elemento clave a buscar es el uso del protocolo SSH en puertos distintos al puerto habitual 22, particularmente en dispositivos de red e incluso más en dispositivos de red que no están centralmente gestionados. También se debe investigar grandes volúmenes de tráfico de red que se originen en dichos dispositivos de red.

Detección en host

A nivel de host, es posible buscar el malware QUIETEXIT basándose en varias cadenas de bytes proporcionadas por Mandiant.

Protección

Se recomienda habilitar la autenticación multifactor para correos electrónicos y aplicar una política de contraseñas sólida. También se recomienda cambiar cualquier contraseña predeterminada en cada dispositivo de red y tomar medidas de endurecimiento específicas del proveedor.

También se deben habilitar los registros para cada dispositivo, y los registros deben enviarse a un repositorio central. Actualice y actualice cada sistema para mantenerse actualizado y evitar caer en una vulnerabilidad antigua. Mandiant proporciona más estrategias de mitigación y endurecimiento en otro informe.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a El amenazante UNC3524: La ciberespionaje casi invisible oculto en los dispositivos de red , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.